Deutscher Bundestag 

17. Wahlperiode 


Drucksache 17/14031 


17. 06. 2013 


Antwort 

der Bundesregierung 


auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, 
Ingrid Hönlinger, Jerzy Montag, Josef Philip Winkler und der Fraktion 
BÜNDNIS 90/DIE GRÜNEN 
- Drucksache 17/13659 - 


Sicherheit von über das Internet steuerbaren Industrieanlagen 


Vorbemerkung der Fragesteller 

Die Zeitschrift „c't“ berichtet in ihrer Ausgabe vom 6. Mai 2013, Flunderte In- 
dustrieanlagen in Deutschland und europaweit stünden für Hackerangriffe weit 
offen. So sei es IT-Experten des Blattes mit wenigen Mausklicks gelungen, nicht 
nur den Zugang zu Steuerungseinheiten von Anlagen, wie etwa Fabriken, 
Gefängnissen und Heizkraftwerken, zu erlangen, sondern auch den Zugang zu 
entsprechenden Administrationsrechten. So habe man theoretisch die Schließ- 
anlage eines Fußballstadions mit rund 40 000 Sitzplätzen ebenso manipulieren 
und die Alarmanlage ausschalten können, wie auch den Zugang zur Steuerung 
der Heizungsanlage eines hessischen Gefängnisses erlangen können. Privat 
betriebene Blockheizkraftwerke seien ebenso zugänglich gewesen, wie der Zu- 
gang zu den Kontrollen über die Femwänneversorgung einer ganzen Region. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe bestätigt, 
dass es in Deutschland rund 500 derartige betroffene Anlagen gebe, die allesamt 
mit über das Internet verfügbaren Steuerungsmodulen ausgestattet seien, was 
als kritisch einzustufen sei. Den Redakteuren der Zeitschrift sei es gelungen, 
ohne spezielle Authentifizierung auf die virtuellen Schaltzentralen zuzugreifen. 
Die Sicherheitslücken seien bereits im Februar 2013 entdeckt worden, die Re- 
dakteure hätten daraufhin sofort das BSI informiert. 

Nach Auskunft des BSI handelt es sich ausschließlich um ein bereits seit länge- 
rem bekanntes Problem eines Herstellers von Heizungsanlagen, die aus Gas 
nicht nur Wärme, sondern auch Strom hersteilen (vgl. heise-online vom 15. Mai 
2013, www.heise.de/newsticker/meldungWaillant-Heizungen-mit-Sicherheits- 
Leck-1840919.html). 

Laut „c't“ seien auch andere, nicht von der beschriebenen Sicherheitslücke be- 
troffene Steuersysteme, tickende Zeitbomben. Die so genannten Industrieanla- 
gen würden meist durch eingebettete Web-Systeme (embedded Systems) gesteu- 
ert, die nach der Installation meist nicht regelmäßig mit Software-Updates 
gepflegt würden. IT-Experten empfehlen deshalb die strikte Trennung dieser 
Steueranlagen sowohl vom Firmennetz als auch vom Internet (vgl. dpa-Ticker- 
meldung vom 2. Mai 2013). 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 13. Juni 2013 über- 
mittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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1 . Wann haben die Bundesregierung bzw. das zuständige Bundesministerium 
des Innern (BMI) und die nachgeordneten zuständigen Behörden (BSI, Bun- 
desamt für Bevölkerungsschutz und Katastrophenhilfe etc.) vom obigen 
Vorgang erstmalig Kenntnis erlangt und entsprechend weitergeleitet (bitte 
den genauen Meldeweg und die beteiligten Gremien aufzählen)? 

ln der Vorbereitung der Veröffentlichungen auf Heise.de und in der c't hat der 
Heise-Redakteur am 7. Februar 2013 das CERT-Bund des Bundesamtes für 
Sicherheit in der Informationstechnik (BSI) über die Sicherheitslücken in den 
Heizungssteuemngsanlagen informiert und um eine Bewertung gebeten. Das 
BSI hat eine Bewertung vorgenommen und am 8. Februar 2013 den Hersteller 
der betroffenen Steuerungsanlage, sowie das Nationale Cyber- Abwehrzentrum 
mit den darin vertretenen Behörden informiert. Weitere Meldungen erfolgten 
nicht. 

Der zitierte Heise-Artikel enthält keine Informationen, die für IT-Sicherheits- 
experten grandlegend neu sind. Das BSI bearbeitet das Thema Sicherheit von 
Industriesteuerangsanlagen seit 1998 insbesondere im Rahmen seiner Zusam- 
menarbeit mit den Kritischen Infrastrukturen und in Kooperation mit anderen 
Behörden, etwa dem Bundesamt für Bevölkerangsschutz und Katastrophenhilfe 
(BBK). Seit dem Auftauchen des Stuxnet- Wurms im Juni 2010 hat die Be- 
drohungsbewertung mit dem Vorliegen des ersten Nachweises, dass derartige 
Angriffe tatsächlich stattfinden, eine neue Dimension angenommen. 


2. Welche Maßnahmen wurden daraufhin konkret veranlasst, und welche Be- 
hörde und Stelle innerhalb der Behörde trug dafür die Verantwortung? 

Das BSI hat den Hersteller der Steuerangsanlage unverzüglich gebeten, die 
Sicherheitslücke zu schließen und die Lieferanten und Kunden über die Thematik 
zu informieren. Ebenfalls unverzüglich hat CERT-Bund die Betreiber sicher- 
heitskritischer Anwendungsfälle benachrichtigt und geeignete Sicherheitsmaß- 
nahmen empfohlen. 


3. Wie bewertet die Bundesregierang die aufgetretenen Sicherheitslücken im 
Hinblick auf die einschlägigen Sicherheitsstandards und die damit verbun- 
denen Risiken für die Allgemeinheit? 

ln der Stromversorgung, aber auch in anderen Branchen Kritischer Infrastruktu- 
ren, die wesentliche Dienstleistungen für unsere Gesellschaft bereitstellen, wer- 
den zunehmend Automatisierangs-, Prozesssteuerangs- und -leitsysteme, auch 
als SCADA-Systeme bezeichnet, eingesetzt. 

Diese technischen Systeme können ebenso von Schwachstellen betroffen sein 
wie herkömmliche Büro-IT. Hieraus ergeben sich — je nach Anwendungsfall - 
durchaus Risiken für die jeweilige Infrastruktur. Eine genaue Risikoeinschät- 
zung ist aufgrund der Diversität der Anwendungsfälle solcher Systeme nicht 
pauschal möglich. 

Das BSI hat bereits 2008 entsprechende Hinweise und Empfehlungen zur In- 
formationstechnik in der Prozessüberwachung und -Steuerung vorgelegt (www. 
bsi.bund.de/DE/Themen/Cyber-Sicherheit/Themen/lKT-gestuetzte_ 
Technologiebereiche/SCADA/scadanode.html). 


4. Geht die Bundesregierung davon aus, dass der Vorgang lediglich Probleme 
eines konkreten Produktes (etwa Heizungsanlagen eines bestimmten Typs) 
betrifft, oder handelt es sich um ein generelles Problem von über das Internet 
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erreichbaren, auf dem freien Markt erhältlichen Steuersystemen von Indus- 
trieanlagen? 

Es handelt sich hierbei in keiner Weise um einen Einzelfall. Das BSl hat in der 
Vergangenheit bereits Keimtnis über weitere Schwachstellen in Industriesteue- 
rungsanlagen erhalten und an den jeweiligen Hersteller gemeldet. Die dabei ge- 
wonnenen allgemeinen Erkeimtnisse werden für verschiedene Zielgruppen wie 
Hersteller und Anlagenbetreiber aufbereitet, sodass die gesamte Industrie von 
diesen Aktivitäten des BSI profitiert. 

Das BSI hat auch für Heimanwender internetverbundener Haustechniksteue- 
rungsanlagen entsprechende Empfehlungen veröffentlicht: (www.bsi-fuer- 
bueger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/ 
lnternetverbundene_Systeme_201 3053 1 .html). 


5. Welche Schlussfolgerungen zieht die Bundesregierung aus der Einschätzung 
von IT-Experten, wonach sog. eingebettete Steuersysteme ohne laufende 
Updates eine weit verbreitete vergleichbare Schwachstelle in der Sicherheit 
von Industrieanlagen darstellen, und welche Maßnahmen schlägt sie zur 
Behebung dieser Sicherheitslücke vor? 

In vielen Anwendungsfällen ist es nach Aussagen der Betreiber nicht möglich, 
Steuersysteme mit Updates zu versorgen. Hierfür werden zwei Gründe genannt: 

Zum einen körmte hierdurch die Verfügbarkeit der Systeme gefährdet werden, 
was zu einem Produktionsausfall führen kann. 

Zum anderen sind Änderungen an solchen Systemen häufig durch vertragliche 
Regelungen oder gesetzliche Vorgaben ausgeschlossen, da andernfalls die Be- 
triebserlaubnis oder die Gewährleistung erlischt. 

Gleichwohl ist nach Einschätzung des BSI der Updateprozess auch in diesen 
Fällen Grundlage für die Gewährleistung der notwendigen Sicherheit, wobei in 
Einzelfällen auch alternative Maßnahmen (z. B. auf infrastruktureller oder orga- 
nisatorischer Ebene) im Zuge einer Gesamtrisikobewertung ausreichend sein 
können. 


6. Auf welche Weise hat das BSI die Gesamtzahl von etwa 500 betroffenen An- 
lagen ermittelt, und durch welche Gemeinsamkeiten sind die betroffenen 
Anlagen charakterisiert? 

Bei einigen Suchmaschinen existieren Möglichkeiten, gezielt mit spezifischen 
Suchmustern nach bestimmten IT-Systemen zu suchen. In den Protokollen der 
Verbindungsdaten gibt es Parameter, die in allen diesen Systemen enthalten sind. 


7. Welche Vorschläge hat das BSI gegenüber dem Hersteller oder den jeweili- 
gen Herstellern der problembehafteten Produkte gemacht, und welche kon- 
kreten Änderungen wurden durch diese daraufhin veranlasst? 

Dem Hersteller der betroffenen Anlage wurde empfohlen, die Passwörter bei der 
Übertragung in geeigneter Form zu sichern. Zudem wurde der Hersteller um 
eine Information an die Kunden gebeten. Nach Auskunft des Herstellers hat die- 
ser daraufhin die Übertragungswege und den Webserver gehärtet, seine Kunden 
informiert und über den Kundendienst die Updates eingespielt. 
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8. Wurden die betroffenen Betreiber der Industrieanlagen mittlerweile infor- 
miert, und wenn nein, weshalb nicht? 

Alle dem BSl bekannten Betreiber wurden unverzüglich informiert. Nach Aus- 
kunft des Herstellers wurden die ihm bekannten Betreiber durch ihn ebenfalls in- 
formiert. 


9. Kann das BSI bestätigen, dass die beschriebenen Sicherheitslücken mitt- 
lerweile behoben sind, und wenn nein, warum nicht? 

Der Hersteller der Heizungsanlage hat das Problem behoben; der Hersteller der 
Steuerungsanlage hat Maßnahmen zur Behebung des Problems eingeleitet. 


10. Handelt es sich bei den beschriebenen Sicherheitslücken um einen nach 
dem Referentenentwurf des BMI für ein „Gesetz zur Erhöhung der Sicher- 
heit informationstechnischer Systeme“ (abrufbar unter www.bmi.bund.de) 
meldepflichtigen Vorgang, und sind die Hersteller z. B. von Heizanlagen 
„Betreiber kritischer Infrastmkturen“ im Sinne des Gesetzes? 

Nach Artikel 1 Nummer 4 des Referentenentwurfs für ein Gesetz zur Erhöhung 
der Sicherheit informationstechnischer Systeme haben Betreiber kritischer Infra- 
strukturen schwerwiegende Beeinträchtigungen ihrer informationstechnischen 
Systeme, Komponenten oder Prozesse zu melden. Schwerwiegend sind danach 
solche Beeinträchtigungen, die Auswirkungen auf die Funktionsfähigkeit der 
betriebenen kritischen Infrastrukturen haben köimen. Zur Beantwortung der 
Frage nach dem Bestehen einer Meldepflicht ist daher die Vorfrage zu klären, ob 
es sich vorliegend bei den Herstellern um einen Betreiber kritischer Infrastruk- 
turen im Sinne des Referentenentwurfs handelt. Hierfür ist nach Artikel 1 Num- 
mer 5 des Referentenentwurfs durch Rechtsverordnung zu bestimmen, welche 
Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, Informa- 
tionstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Was- 
ser, Ernährung sowie Finanz- und Versicherungswesen, von hoher Bedeutung 
für das Funktionieren des Gemeinwesens sind und durch ihren Ausfall oder 
Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche 
Störungen der öffentlichen Sicherheit verursachen würden, und damit also kri- 
tische Infrastrukturen im Siime dieses Regelwerks darstellen. 


1 1 . Wer trägt nach Auffassung der Bundesregierung in der Gemengelage aus 
Herstellern, Softwarelieferanten bzw. installierenden Unternehmern, Inter- 
mediären und Endnutzem welchen zivilrechtlichen Haftungsanteil für die 
Installation und Inbetriebnahme eines auch aus BSI-Sicht gravierende 
Sicherheitslücken bietenden Steuemngssystems sowie mögliche zivil- 
rechtlich relevante Folgen im Falle einer missbräuchlichen Ausnutzung der 
Sicherheitslücke? 

Für die Haftung, den Haftungspflichtigen und den jeweiligen Umfang der Haf- 
tung mehrerer Beteiligter sind stets die Umstände des Einzelfalles — vertragliche 
Beziehungen, etwaiges Mitverschulden der geschädigten Seite u. Ä. m. — maß- 
geblich. 


12. Trifft es zu, dass nach bundesdeutschem Produkthaftungsrecht die Herstel- 
ler einer entsprechend lückenhaft eingerichteten Steueranlage keine recht- 
liche Pflicht zur Behebung oder Verhinderung der aufgetretenen Mängel 
trifft bzw. etwa zum „Patchen“ einer aufgetretenen Sicherheitslücke? 
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Den Regelungen des Produkthaftungsgesetzes (ProdHaftG) ist zu entnehmen, 
dass sie keine Pflicht zur Mängelbeseitigung begründen, sondern eine verschul- 
densunabhängige Gefährdungshaftung, die auf den Ersatz des durch ein fehler- 
haftes Produkt entstandenen Personen- oder Sachschadens an anderen Gegen- 
ständen als dem Produkt selbst gerichtet ist. Sie sind auf Produkte gemäß der 
Legaldefinition des § 2 ProdHaftG anwendbar. Ob und inwieweit Computerpro- 
gramme Produkte in diesem Sinne sind, ist umstritten, mit der h. M. jedoch je- 
denfalls dann zu verneinen, weim nicht der Waren-, sondern der Dienstleistungs- 
charakter der Software überwiegt, es sich also um eine individuelle Anfertigung 
für eine bestimmte Einrichtung handelt. Die Behebung des Produktmangels 
selbst kann nur innerhalb vertraglicher Beziehungen (Kauf- oder Werkvertrag) 
und hieraus begründeter Gewährleistungsansprüche verlangt werden. 


13. Für welche Schadensformen haften Hersteller sowohl von Hard- als auch 
Software, wenn Mängel an deren Produkten kausal werden für die typi- 
scherweise in Verbindung mit länger andauernden Stromausfällen auftre- 
tenden Schäden? 

Soweit es sich um Produkte i. S. d. § 2 ProdHaftG handelt - d. h. (bewegliche) 
Hardwarekomponenten und nicht individualisierte (Standard-)Software — , haftet 
der Hersteller verschuldensunabhängig für Schäden an Körper, Gesundheit oder 
Eigentum, die durch das fehlerhafte Produkt entstanden sind, auf Ersatz dieses 
Schadens nach den Regelungen des ProdHaftG. Der Produktfehler muss in ei- 
nem Zurechnungszusammenhang mit dem eingetretenen Schaden stehen. 

Nach § 823 Absatz 1 des Bürgerlichen Gesetzbuchs (BGB) kann sich für Her- 
steller eine verschuldensabhängige Haftung für Schäden an Leben, Körper, Ge- 
sundheit, Freiheit, Eigentum oder einem sonstigen Recht, z. B. dem Recht auf 
eingerichteten und ausgeübten Gewerbebetrieb, ergeben. 


14. Beabsichtigt die Bundesregiemng gesetzliche Veränderangen bei der Ver- 
antwortungsverteilung (sowohl zivilrechtlich als auch öffentlich-rechtlich) 
zur Gewährleistung eines übergreifenden, einheitliche Regelungen ermög- 
lichenden Ansatzes bei der IT-Sicherheit, insbesondere mit Blick auf die 
IT-Hersteller, und wenn nein, warum nicht? 

Der Abstimmungsprozess zu dem in Frage 1 0 genaimten Referentenentwurf und 
damit auch zu Fragen der Verantwortungsverteilung ist innerhalb der Bundes- 
regierung noch nicht abgeschlossen. 


15. Stehen gegenwärtig öffentlich-rechtliche Befugnisse für Maßnahmen der 
Behebung der oben beschriebenen Sicherheitslücken gegenüber dem Her- 
steller zur Verfügung, und wenn nein, wie bewertet die Bundesregierang 
das Fehlen entsprechender Befugnisse? 

Das BSI hat nach § 7 des Gesetzes über das Bundesamt für Sicherheit in der 
Informationstechnik die Befugnis, vor Sicherheitslücken in informationstech- 
nischen Produkten und Diensten zu warnen. Da mit der Warnung aber auch 
potenzielle Angreifer auf die bestehenden Lücken hingewiesen werden, ist es 
aus fachlicher Sicht vorzugswürdig und so auch vom Gesetz vorgesehen, den 
Hersteller zu kontaktieren und ihn zur Schließung der Lücken aufzufordem. 
Eine Befugnis, zur Lückenschließung anzuweisen, besteht nicht. 

Auch ohne eine solche gesetzliche Befugnis hat der Hersteller in dem hier in 
Rede stehenden Vorfall mit dem BSI kooperiert und mit Absicherungsmaßnah- 
men begonnen. 
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Im Fall fehlender Kooperationsbereitschaft kann das BSl die betroffenen Kreise 
warnen, ln der Regel führen solche Warnungen zu erhöhtem öffentlichen Druck 
auf den Flersteller und dort zu gesteigerten Anstrengungen, die Sicherheits- 
lücken zu schließen. Im Gegensatz zu gesetzlichen Durchsetzungsbefugnissen, 
die notwendigerweise auf das Gebiet der Bundesrepublik Deutschland be- 
schränkt sein müssten, wirkt die Warnung sich auch auf Hersteller aus, die ihren 
Sitz außerhalb des Bundesgebietes haben. 


16. Welche Schlussfolgemngen und Konsequenzen zieht die Bundesregierang 
aus der Empfehlung von IT-Experten, wonach die Steuerangseinheiten von 
Industrieanlagen generell weder über das Firmennetz noch über das Inter- 
net zugänglich sein sollten bzw. allenfalls über sog. VPN-Tuimel (VPN = 
Virtual Private Network) mit starker Verschlüsselung? 

Prinzipiell ist eine strikte Trennung zwischen Industrieanlagen auf der einen und 
Internet oder Firmeimetz auf der anderen Seite zu favorisieren. Allerdings sind 
die Abhängigkeiten zwischen diesen Systemen mitunter sehr hoch. Daher gibt 
es Synergie-Effekte durch die Vernetzung dieser Systeme, welche letztlich dazu 
beitragen, Deutschland als Produktionsstandort attraktiv zu machen. So werden 
beispielsweise Steuerangsanlagen mit Warenwirtschaftssystemen vernetzt. Zu- 
dem wurde mit Industrie 4.0 der Weg eingeschlagen, Produktionsprozesse über 
die gesamte Wertschöpfungskette miteinander zu vernetzen und zu optimieren. 
Mit einer strikten Trennung ist dies nicht möglich. Natürlich sollte eine Vernet- 
zung von Steuerangsanlagen auch immer mit dem Einsatz geeigneter Sicher- 
heitsmechanismen wie VPN-Technologien (Virtual Private Network), Firewalls 
und Malwareschutz einhergehen. 
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